Questions tagged «iptables»

我试图取消阻止IP地址而不每次都重新启动Fail2Ban，这样做的最佳方法是什么？还是可以向我指出有用的指南？ 如您所见，我要删除的IP地址是：89.31.259.161 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 …

11 iptables  fail2ban 

我应该在哪里加载iptables模块，例如ip_conntrack和ip_conntrack_ftp。 我发现的地方可能是候选人，但是对吗？ /etc/init.d/iptables中的IPTABLES_MODULES变量 在/etc/modprobe.conf中 在/etc/modprobe.d/xxxx.conf中

11 centos  iptables  centos6  modprobe 

以下情况：我们是一群学生，负责管理本地居民大厅的Internet连接，共有大约2000个最终用户。 我们有一个交通点系统，每个MB降低或上传的成本点，按小时添加新的点。目前，当用户花完所有积分后，我们便将其阻止（通过将其放入Debian网关路由器iptables中的REJECT策略中）。 我们只想限制用户的带宽。做这个的最好方式是什么？ 简单的答案是在用户的交换机端口（主要是Cisco Catalyst 3550）上设置速率限制。但是，这是不可取的，因为我们自己网络内部和大学网络之间的流量应保持无限。在Cisco IOS中，是否有一种方法仅对具有特定目标或源IP范围（因此，出站和入站）的数据包限制带宽？我什么都找不到。 另一种方法是控制网关路由器上的流量。我想到了几种解决方案： tc或tcng-似乎两者都具有相当奥秘的语法，而且都没有提供用于进行按IP流量控制的良好功能。专用于这么多人的QDisc可能会大大降低路由器的速度。此外，两者的文档都已经过时了。 Shorewall-似乎具有相当整齐的配置语法，但是，我不确定它是否可以处理这么多的流量和用户，是否适合每个IP流量限制 pfSense-看起来像是用于我们这样的目的的操作系统。但是，这将要求我们完全重新安装网关路由器。我们没有其他BSD系统，并且pfSense也需要具有非常好的流量统计功能（目前我们正在使用fprobe-ulog和ulog-acctd）。 你有什么经验？哪种解决方案适合我们的需求，并且最容易维护？您还有其他想法吗？ 如果您需要有关我们系统的任何其他信息，请随时询问。 提前致谢。 编辑：我已经实现了iptables和的系统tc。 每个用户都有一个/ 28子网，一个VPN IP（均从10.0.0.0/8起）和一个外部IP，它们都通过一个iptables链进行控制。这条链只有一个规则，一个简单的规则RETURN。 Python脚本每五分钟读取一次这些规则的字节计数器。它将重置计数器并更新我们的PostgreSQL数据库中的用户流量点帐户。 如果用户的积分余额减少到某个阈值以下，则会为此用户创建两个tc类（一个用于传入，一个用于网关路由器上的传出接口），将IP输入到属于这些类的tc过滤器中。这些类受HTB限制速度。 相比之前的系统，fprobe-ulog而且ulog-acctd这是更快的字节计数由iptables的完成。 对于我们的用户，网络速度已大大提高。

11 linux  networking  cisco  iptables  traffic-shaping 

好的，...这可能已经回答了，不幸的是，我没有找到任何看起来像是解决方案的东西。 Ive查看了这些页面，它们提供了一些有用的信息，但没有完整的解决方案： 在Linux上对多个ISP连接进行负载平衡和NAT处理 两个Internet连接和1个NIC，可能吗？ Linux拆分访问（带有负载平衡的多个Internet连接） linux防火墙+负载平衡ISP连接 我将使用Debian 8，Ubuntu 16.04 Desktop或Ubuntu 16.04 Server（说实话，最有可能是Debian）。 好，所以我将安装三个NIC，两个千兆位，以及板载100 mbps的LAN连接。ISP连接将通过两个NIC上的PPPoE身份验证使用千兆位LAN卡（如果可能的话，否则我将在DSL调制解调器上采用非桥接模式）。并且两个网络都将分配有一个静态IP。当前（将更改）主连接有五个一组。我需要将来自这些IP地址之一的流量路由到网络上的适当服务器。 这是我的问题： 我该如何设置？我是否使用NATing，IP Chan，IP伪装，路由等...？ 如何将从外部进入系统的流量路由到网络上的特定IP地址？ 请放心，这是我第一次尝试过类似这样的事情：）。 编辑1 忘记添加网络拓扑： 编辑2 刚刚意识到一些事情...为了进行PPPoE身份验证，我将不得不在特定接口上强制对凭据进行身份验证。怎么做？ 我在这里发布了这个问题： 创建具有两个Internet连接和一个LAN连接的多宿主Linux负载均衡器 更新1 仍然无法使多跳循环机制正常工作。我尝试遵循以下站点中概述的步骤，但没有走运： 在Linux上对多个ISP连接进行负载平衡和NAT处理 Linux-双Internet连接/负载平衡 HOWTO：Linux多路由 我或者不断收到一条消息，指出该文件已经存在或设备无效。这是/是我的设置/信息 IFCONFIG eth0 Link encap:Ethernet HWaddr ec:08:6b:04:8e:ac inet addr:172.16.0.2 Bcast:172.16.0.255 Mask:255.255.255.0 inet6 addr: fe80::ee08:6bff:fe04:8eac/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 …

11 networking  iptables  load-balancing  linux-networking  nat 

我想知道是否有人可以通过以下iptables规则来帮助我： 我们希望允许ANY和ALL本地发起（例如，在运行iptables的服务器上）流量。 DNS，HTTP等...全部。应该允许由运行iptables的服务器启动的任何连接。 当前，我们基本上使用OUTPUT默认策略ACCEPT。这个对吗？输入被阻止，所以我认为这意味着无法启动连接（我们允许的连接除外），因为在我们这边执行OUTPUT策略之前，它们将被断开？ 抱歉，我的iptables技能很弱;） 非常感谢你。

11 iptables 

如何配置IPTable，使其仅允许SSH进入，而不允许其他流量进出？ 任何人可以推荐的安全预防措施吗？ 我有一个服务器，我相信它已经成功地从GoDaddy迁移了出去，并且我相信它已不再使用。 但是我想确保仅仅是因为...你永远不会知道。:) 请注意，这是GoDaddy的虚拟专用服务器...这意味着没有备份，几乎没有支持。

11 firewall  iptables  godaddy 

我正在尝试在CentOS环境中部署Tomcat服务器，但是它没有收到请求。 执行startup.sh可以正常工作，并且日志显示tomcat正在运行 16-Dec-2016 13:36:58.440 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [http-nio-8080] 16-Dec-2016 13:36:58.444 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [ajp-nio-8009] 16-Dec-2016 13:36:58.445 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 14803 ms 运行netstat检查侦听端口时，它显示为侦听 $netstat -atnp|grep LISTEN tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 3321/java 为了跳过防火墙，我在iptables上添加了自定义规则。 $iptables -nL Chain INPUT (policy ACCEPT) target prot opt source …

10 centos  iptables  firewall  tomcat 

昨天，我在这里发表了一个问题，但我认为我的话还不够清楚。顺便说一句，这个问题不是重复的。 我有如下的AWS VPC设置。 目标/问题：从Internet SSH到服务器A。而且它不起作用。 服务器A位于私有子网中，因此我想在NAT实例上启用iptables NAT，以便可以直接从Internet SSH到服务器A 我下面这个和这个 我在NAT实例上运行以下命令： NAT# iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.1.243:22 在NAT实例上启用IP转发： NAT# sysctl -p net.ipv4.ip_forward = 1 MASQUERADE在NAT实例上运行： NAT# iptables -t nat -vnL POSTROUTING Chain POSTROUTING (policy ACCEPT 6 packets, 312 bytes) pkts bytes target prot …

10 linux  iptables  nat  linux-networking  amazon-vpc 

我重新启动了服务器，一个奇怪的问题出来了。我在ArchLinux上运行，客户端是Ubuntu，Android和Mac。 问题在于，通过客户端访问Internet的速度很慢，大约为2ko / s，然后逐渐停止。 但是，从服务器直接下载某些内容到客户端是全速的。而且，很明显，来自服务器的Internet处于全速状态（40mo / s）。 我不知道重新启动后发生了什么，但是此问题在所有客户端上都存在，并且仅与将openvpn转发到Internet的流量有关。 编辑：尝试与tcp，没有解决。编辑：测试了各种片段/ mtu设置，没有更改。 这是我的所有conf： ╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇ ╰─➤ cat Alduin.conf ccd/Thunderaan local 212.83.129.104 port 1194 proto udp dev tun ca keys/ca.crt cert keys/Alduin.crt key keys/Alduin.key dh keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" client-to-client keepalive 5 60 ping-timer-rem comp-lzo persist-key persist-tun status …

10 linux  iptables  routing  ip  openvpn 

我在提供MySQL服务的服务器上有一个相当简单的iptables防火墙，但是iptables似乎给了我非常不一致的结果。 脚本的默认策略如下： iptables -P INPUT DROP 然后，我可以使用以下规则将MySQL公开： iptables -A INPUT -p tcp --dport 3306 -j ACCEPT 有了此规则，我就可以从服务器上的任何源IP到任何目标IP连接MySQL。但是，当我尝试通过将以下行替换为以下内容来限制仅对三个IP的访问时，我遇到了麻烦（xxx =屏蔽八进制）： iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.184 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.196 -j ACCEPT iptables -A …

10 mysql  iptables  ip-aliasing 

我们最近开始试验IPv6，我们要解决的第一个问题是为两个协议栈处理一组完全独立的防火墙规则（Linux iptables / ip6ables）。我们的防火墙逻辑主要基于许多专用网络（例如10.0.0.0/24是员工工作站网络，10.1.0.0 / 24是数据库网络，10.2.0.0 / 24是Web服务器网络等） ），IPv6和IPv4的逻辑将大体相同，只是网络前缀不同。 人们正在做什么来管理这种情况？理想情况下，我希望能够从同一源文件生成iptables和ip6table规则集。我已经用bash拼凑了一些东西，但是它不一定漂亮，我怀疑必须有更好的解决方案。 我对基于Puppet的解决方案特别感兴趣，该解决方案充分利用了Puppet自己的依赖机制来实现规则（或规则组）的相对排序。

10 linux  firewall  iptables  ipv6 

提出了iptables使用Puppet 管理规则的想法。我看到augeas有iptables镜头，但目前仍处于实验阶段。 有人对如何处理有任何建议吗？理想情况下，我想基于服务器的类构造链。

10 linux  iptables  configuration  puppet 

我有一个VirtualBox VM（主机和来宾Ubuntu Maverick）。我的VPN提供商使用OpenVPN设置TUN。我想进行设置，以使来自VM的流量仅通过VPN传输，并且如果VPN断开（发生），流量只会被丢弃。有什么建议吗？我的iptables-fu有点虚弱 我曾尝试过：使用VirtualBox的“仅主机网络”，该主机在主机上为来宾提供了vboxnet0回送接口，但无法正确获得iptables /路由。我想避免在VM上进行NAT，因为我已经对NAT（ISP和家庭路由器）进行了两次加倍，并且再加一层将使我大吃一惊。 其他可能性：切换到TAP（如何操作）并桥接到VM。在VM内创建VPN并过滤除VPN与iptables连接之外的所有eth0流量（但请参见下文） 奖励积分：如果您能告诉我如何在主机和来宾上使用不同的VPN出口点，而无需通过主机的VPN对来宾的流量进行双隧道处理。

10 networking  virtualization  vpn  iptables  virtualbox 

我正在运行CentOS 5.3，并希望禁用nf_conntrack模块以提高haproxy的网络性能。我正在使用一些简单的规则运行iptables。我真的不需要连接跟踪。 我在Rackspace云服务器上运行，因此无法运行自定义内核。我试过运行modprobe，但这不起作用。 [mmarano@w1 w1]$ sudo modprobe -n -r nf_conntrack FATAL: Module nf_conntrack is in use. [mmarano@w1 w1]$ uname -a Linux w1.somewhere.com 2.6.24-23-xen #1 SMP Mon Jan 26 03:09:12 UTC 2009 x86_64 x86_64 x86_64 GNU/Linux [mmarano@w1 w1]$ cat /etc/redhat-release CentOS release 5.3 (Final) 我想在删除此内容后继续运行iptables，所以我不能完全放弃所有netfilters。有人有什么想法吗？

10 linux  centos  iptables  kernel-modules 

我想引起社区对linux服务器安全性的关注，特别是关于蛮力攻击以及使用fail2ban与自定义iptables。 那里也有一些类似的问题，但是没有一个问题令我满意。简而言之，我正在尝试确定最佳的解决方案，以保护免受互联网攻击的Linux服务器（运行常规服务，ssh，web，邮件）免受暴力攻击。 我对服务器安全性有很好的了解，即通过不允许root用户或密码登录，更改默认端口，确保软件为最新版本，检查日志文件，仅允许某些主机访问服务器并利用安全性来锁定ssh审核工具，例如Lynis（https://cisofy.com/lynis/），用于一般安全合规性，因此尽管总是欢迎您提供意见和建议，但这个问题不一定要与之相关。 我的问题是我应该使用哪种解决方案（fail2ban或iptables），应该如何配置它，还是应该结合使用两者来防止暴力攻击？ 关于该主题有一个有趣的响应（Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法？）。就我个人而言，最有趣的答案是（https://serverfault.com/a/128964），并且iptables路由发生在内核中，而不是使用用户模式工具来解析日志文件的fail2ban。Fail2ban当然使用iptables，但是它仍然必须解析日志文件并匹配模式，直到执行操作为止。 那么使用iptables和使用速率限制（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）来丢弃来自IP的请求一段时间是否有意义在特定时间段内进行过多连接尝试的时间（无论它尝试连接到哪种协议）？如果是这样，那么对于此处的那些数据包使用丢弃与拒绝有一些有趣的想法（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject），对此有什么想法吗？ Fail2ban允许以能够为默认配置中可能未解决的服务编写自定义“ 规则 ” 的形式进行自定义配置。它易于安装和设置并且功能强大，但是如果我要实现的全部目的是“ 阻止 ”服务器的IP（如果他们对某项服务/协议进行了两次失败的访问尝试，且访问次数超过x的数量，那么这可能是一个过大的杀伤力）时间？ 此处的目标是打开每日日志监视报告，而不必滚动浏览尝试与服务器建立连接失败的页面。 感谢您抽出宝贵的时间。

10 ssh  security  iptables  fail2ban  brute-force-attacks